Il collettivo LulzSec_ITA, impegnato negli ultimi giorni a violare i sistemi informatici degli Ordini degli avvocati di Matera, Caltagirone e Piacenza per poi arrivare a bucare 30mila Pec di avvocati romani, rivendica anche un attacco perpetrato ai danni del sito del Garante per la protezione dei dati personali. La notizia è stata prontamente e in parte smentita attraverso un comunicato ufficiale, con il quale il Garante ha precisato come il data breach annunciato dal collettivo di hacker vicini ad Anonymous non abbia riguardato il sito dell’Autorità, ma un’applicazione esterna, non più attiva a seguito dell’entrata in vigore del Gdpr se non come registro pubblico e quindi contenente dati già accessibili. Il Garante comunque nel suo comunicato ha precisato che – pur trattandosi di dati pubblici – non si stia sottovalutando l’attacco subito e quindi si stiano predisponendo adeguate misure.

I fatti raccontati fanno emergere come ancora una volta siano stati violati i database di siti istituzionali contenenti dati personali (anche di natura piuttosto delicata) e password di utenti. Da ciò si evince purtroppo quanto i sistemi di sicurezza e la protezione di reti e archivi siano estremamente vulnerabili nel nostro Sistema Paese.

Ovvio che, rispetto al data breach subito dal Garante, quanto successo ai siti web degli Ordini degli avvocati costituisce episodio ben più grave dal punto di vista sia della natura dei dati violati e sia della loro portata e rappresenta appieno il degrado che il nostro intero Sistema Paese sta attraversando negli ultimi anni. Ed è difficile riferire oggi cosa sia più imbarazzante: un Ordine professionale che seleziona i suoi fornitori senza darsi pena di verificare l’adeguatezza delle misure di sicurezza o gli stessi provider che sembrerebbero ignorare le regole più ovvie della protezione dei dati. E non possiamo tralasciare gli utenti (avvocati, dai quali ci si aspetterebbe un minino di attenzione e consapevolezza) i quali, ricevuta la password di accesso alla Pec (in chiaro e via e-mail), non si sono preoccupati minimamente di modificarla o, se lo hanno fatto, hanno deciso di scegliere “avvocato” o “nomecognome” come propria credenziale di autenticazione (esponendo così propri dati personali e – peggio – dati di propri clienti e colleghi a gravissime minacce di violazione).

Alla luce di tutto questo, appare quanto mai urgente divulgare nel nostro Paese una diffusa cultura della sicurezza e della consapevolezza del rischio. Del resto, innovazione digitale e protezione dei dati sono pilastri su cui dovrebbero reggersi l’economia e la cultura di uno Stato. E quindi tutti, cittadini, professionisti, imprese, pubbliche amministrazioni dovrebbero essere resi edotti dei rischi legati al trattamento dei dati personali in un contesto digitale. Perché – occorre dirlo – quanto accaduto al Garante, seppur di minore impatto e gravità, dimostra proprio come nessun database, nessun sistema, nessun archivio digitale sia sicuro in modo assoluto e non sono assolutamente sufficienti gli strumenti tecnologici di prevenzione, se non sono accompagnati da una diffusa cultura della sicurezza informatica, anche in ogni minimo dettaglio dei trattamenti che si pongono in essere.

Bene ha fatto naturalmente l’Authority a precisare in modo autorevole la natura della violazione subita e a non banalizzarla. Perché se è vero che quei dati fossero pubblici e quindi senz’altro la violazione possa essere ritenuta meno grave, è vero anche che una violazione ci sia comunque stata e abbia svelato così una vulnerabilità probabilmente dovuta a un utilizzo di sistemi obsoleti. E se riflettiamo sul fatto che deve essere considerato trattamento anche la modifica, la cancellazione o la distruzione di un insieme di dati personali (anche se di natura pubblica), allora l’azione del collettivo LulzSec_ITA, che è riuscita ad accedere a un registro pubblico con la possibilità almeno teorica di poterne compromettere l’integrità, non può che essere considerata una violazione del trattamento di quei dati personali. Il data breach, in poche parole, c’è stato.

Poi credo che sia corretto ricordare come queste azioni siano di carattere dimostrativo e mirino proprio a svelare quanto la sicurezza informatica e la protezione dei dati personali siano un problema nazionale. Insomma, non chiediamoci solo se questo tipo di azioni siano giuste o sbagliate (o se vadano considerate dei veri e propri crimini informatici da condannare con disprezzo), ma cerchiamo piuttosto di mettere in atto tutte le azioni possibili per prevenirle. Così tuteleremo il nostro intero Sistema Paese e quindi noi stessi.

Si parlerà anche di questo episodio durante l’importante evento #Digeat2019 #Thedarksideof… che si terrà a Roma presso il teatro Eliseo il 30 maggio e se ne discuterà con il Garante europeo Giovanni Buttarelli e con il Colonnello Marco Menegazzo, Comandante del Gruppo Privacy, articolazione dipendente del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza.